Рекомендация Debian по безопасности
DSA-4633-1 curl -- обновление безопасности
- Дата сообщения:
- 22.02.2020
- Затронутые пакеты:
- curl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 929351, Ошибка 940009, Ошибка 940010.
В каталоге Mitre CVE: CVE-2019-5436, CVE-2019-5481, CVE-2019-5482. - Более подробная информация:
-
В cURL, библиотеке передачи URL, были обнаружены многочисленные уязвимости.
- CVE-2019-5436
В коде получения данных по TFTP было обнаружено переполнение буфера, которое может позволить вызов отказа в обслуживании или выполнение произвольного кода. Данная уязвимость касается только предыдущего стабильного выпуска (stretch).
- CVE-2019-5481
Томас Вегас обнаружил повторное освобождение памяти в коде FTP-KRB code, вызываемое вредоносным сервером, отправляющим слишком большой блок данных.
- CVE-2019-5482
Томас Вегас обнаружил переполнение буфера, которое может быть вызвано использованием небольшого значения размера блока TFTP (значение не по умолчанию).
В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52.1-5+deb9u10.
В стабильном выпуске (buster) эти проблемы были исправлены в версии 7.64.0-4+deb10u1.
Рекомендуется обновить пакеты curl.
С подробным статусом поддержки безопасности curl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/curl
- CVE-2019-5436